OSS 操作权限控制

最新推荐文章于 2024-01-19 11:13:04 发布
最新推荐文章于 2024-01-19 11:13:04 发布
阅读量1.1w 收藏 5
点赞数 2
分类专栏: oss 文章标签: oss oss权限控制

用户操作 OSS 时是需要根据账号的 AccessKeyId 和 AccessKeySecret (后续简称 AK 和 SK )进行权限验证的,这里的 AK 和 SK 包括有多种类型:主账号的 AK 和 SK 、子账号的 AK 和 SK 以及 STS 生成的临时 AK 、 SK 和 Token 。那么他们之间有什么区别呢?具体应该如何配置使用呢?本文将带大家一起认识相关概念。

1. 概念区别

主账号的 AK 和 SK 是主账号对应的权限标识,也就是说主账号的每对 AK和 SK 是拥有账号下的所有权限的,不仅仅可以操作 OSS,还包括 ECS 、 RDS 等其他产品都是可以操作的。因此该对 AK 和 SK 是必须要安全保管的,是不能随便泄露出去的;并且主账号的 AK 和 SK 尽量避免所有账号使用者均知道,建议仅极少数的账号管理者进行控制和知晓。
子账号的 AK 和 SK 是主账号将账号内的部分权限通过赋权的方式提供给子账号,后续子账号即可以使用自己的账号和密码或者 AK 和 SK 操作允许的操作。该子账号的 AK 和 SK 是有永久时效性的,也就是说在主账号没有取消权限之前都是有效的,因此子账号建议提供给公司内部账号的使用者或者开发人员。
STS 生成的临时 AK 、 SK 和 Token 与子账号类似,也是需要通过赋权的方式单独赋权给该 Token 的,但是有一点和子账号的 AK 和 SK 相区别的就是该 Token 是有有效时间的。该 Token 尽可以在有效时间内操作赋予的权限,超过该时间后即需要重新获取新的 Token 才可以正常操作。

2. 获取方法

2.1 主账号的 AK 和 SK

主账号的 AK 和 SK 可以主账号登陆后直接查看到,如图(主账号 AK 和 SK 示意图)。主账号可以创建五对 AK 和 SK ,每对 AK 和 SK 都是拥有账号的所有权限的,使用时可直接应用其中的一对操作即可完成。主账号的使用方法最为便捷。

image

                                                              图 1. 主账号 AK 和 SK 示意图

2.2 子账号的 AK 和 SK

子账号的 AK 和 SK 是需要通过访问控制控制台得到的。首先需要创建 RAM 子账号,创建的方法请参考:访问控制创建子账号
注意

  1. 子账号的 AK 对应的 SK 是仅有在创建的时候可以查看到的,后续将无法再显示;因此您需要自行记录好对应的 AK 和 SK 的值。
  2. 子账号如果需要使用阿里云的控制台登陆的话是需要开启该功能的,如图 (子账号开启控制台登陆示意图)。image

                                                              图 2. 子账号开启控制台登陆示意图

在创建完成子账号后该用户需要操作 OSS 就需要将相关的权限赋权给该子账号。授权的方法请您参考:子账号赋权操作。配置完成后即可通过使用该对 AK 和 SK 操作 OSS 了。

2.3 STS 的 AK 、 SK 和 Token

STS 的 Token 相比于上面的两种方式来说更加的具有安全性但同时其获取方法和处理逻辑都会更加复杂。具体的生成步骤包括以下几步:

  1. 创建生成 Token 的子账号。因为 STS 的 Token 是需要子账号调用 assumerole 接口,因此第一步即是创建 RAM 子账号并且赋权 AliyunSTSAssumeRoleAccess 权限。该权限即是可以调用 assumerole 接口的权限。如图(子账号赋权示意图)

                                                                        图 3. 子账号赋权示意图

   2. 创建角色。角色是访问控制的一种虚拟身份,当子账号扮演 RAM 角色时即获得 RAM 角色的临时安全令牌,使用这个临时         安全令牌就能以角色身份访问被授权的资源。而创建的步骤是创建用户角色(如图4:创建用户角色示意图)->选择账号,         并填写当前 UID (如图 5 )->填写用户角色名称。
image

                                                             图 4. 创建用户角色示意图

image

                                                             图 5. 角色选择账号示意图

3.  角色赋予 OSS 操作权限。由于子账号扮演角色操作 OSS 是需要角色有操作 OSS 的权限的,这里我们先赋予

  1. AliyunOSSFullAccess权限。配置如图6所示。                       image

                                                             图 6. 角色赋权示意图

4.  调用 STS 的 assumerole 接口,其中包括子账号的 AK 和 SK ,角色的 Arn 以及用户自定义 Policy 权限参数。示例代码如下所示:

public class NewStsServiceSample {
    // 目前只有"cn-hangzhou"这个region可用, 不要使用填写其他region的值
      public static final String REGION_CN_HANGZHOU = "cn-hangzhou";
      // 当前 STS API 版本
      public static final String STS_API_VERSION = "2015-04-01";
      static AssumeRoleResponse assumeRole(String accessKeyId, String accessKeySecret,
                                           String roleArn, String roleSessionName, String policy,
                                           ProtocolType protocolType) throws ClientException {
        try {
          // 创建一个 Aliyun Acs Client, 用于发起 OpenAPI 请求
          IClientProfile profile = DefaultProfile.getProfile(REGION_CN_HANGZHOU, accessKeyId, accessKeySecret);
          DefaultAcsClient client = new DefaultAcsClient(profile);
          // 创建一个 AssumeRoleRequest 并设置请求参数
          final AssumeRoleRequest request = new AssumeRoleRequest();
          request.setVersion(STS_API_VERSION);
          request.setMethod(MethodType.POST);
          request.setProtocol(protocolType);
          request.setRoleArn(roleArn);
          request.setRoleSessionName(roleSessionName);
          request.setPolicy(policy);
          request.setDurationSeconds((long)900);
          // 发起请求,并得到response
          final AssumeRoleResponse response = client.getAcsResponse(request);
          return response;
        } catch (ClientException e) {
          throw e;
        }
      }
      public static void main(String[] args) throws MalformedURLException, IOException {
        // 只有 RAM用户(子账号)才能调用 AssumeRole 接口
        // 阿里云主账号的AccessKeys不能用于发起AssumeRole请求
        // 请首先在RAM控制台创建一个RAM用户,并为这个用户创建AccessKeys
          String accessKeyId = "";
            String accessKeySecret = "";

            // RoleArn 需要在 RAM 控制台上获取
            String roleArn = "";
        // RoleSessionName 是临时Token的会话名称,自己指定用于标识你的用户,主要用于审计,或者用于区分Token颁发给谁
        // 但是注意RoleSessionName的长度和规则,不要有空格,只能有'-' '_' 字母和数字等字符
        // 具体规则请参考API文档中的格式要求
        String roleSessionName = "alice-001";
        // 如何定制你的policy?
        String policy = "{\n" +
                "    \"Version\": \"1\", \n" +
                "    \"Statement\": [\n" +
                "        {\n" +
                "            \"Action\": [\n" +
                "                \"oss:*\"\n" +
                "            ], \n" +
                "            \"Resource\": [\n" +
                "                \"acs:oss:*:*:*\" \n" +
                "            ], \n" +
                "            \"Effect\": \"Allow\"\n" +
                "        }\n" +
                "    ]\n" +
                "}";
        // 此处必须为 HTTPS
        ProtocolType protocolType = ProtocolType.HTTPS;
        try {
          final AssumeRoleResponse response = assumeRole(accessKeyId, accessKeySecret,
                  roleArn, roleSessionName, policy, protocolType);
          System.out.println("Expiration: " + response.getCredentials().getExpiration());
          System.out.println("Access Key Id: " + response.getCredentials().getAccessKeyId());
          System.out.println("Access Key Secret: " + response.getCredentials().getAccessKeySecret());
          System.out.println("Security Token: " + response.getCredentials().getSecurityToken());
        } catch (ClientException e) {
          System.out.println("Failed to get a token.");
          System.out.println("Error code: " + e.getErrCode());
          System.out.println("Error message: " + e.getErrMsg());
        }
      }
}

5.生成 STS 的 AK 、 SK 和 Token 即可以创建 OSSclient 对象,特别需要注意的是最终生成的 AK 、 SK 和 Token 的权限是角色的权限以及 assumerole 接口的 policy 参数的交集。初始化代码如下所示:

OSSClient Server = new OSSClient(endpoint, response.getCredentials().getAccessKeyId(),response.getCredentials().getAccessKeySecret(),response.getCredentials().getSecurityToken());

3. 权限设置

OSS 针对于所有的 API 接口都分别提供了对应的权限,详细的 OSS 各接口权限请参考: OSS 接口权限,上面提供的示例仅仅是所有的 OSS 权限。用户可以根据具体需要的权限分别设置 Policy 的 Action 。
注意:如果需要子账号可以通过可视化操作 OSS 的话是必须赋予 oss:ListBuckets 权限的,而该权限暂时仅支持赋权给所有的 Bucket ,因此可视化显示仅支持显示所有的 Bucket ,但是具体操作 Bucket 的权限可以根据其他的操作权限控制。
同样 OSS 是可以限制该子账号访问的来源 IP ,在 Policy 中通过 Condition中进行限制,并且可以设置 IP 段限制。具体的示例如下:

"Condition":{
    "IpAddress": {
        "acs:SourceIp": ["42.120.88.0/24", "42.120.66.0/24"]
    }
}

另外用户可以进赋权给特定的子目录设置单独的访问权限,并且根据不同的场景会有不同的设置方法,请参考: OSS 赋权目录示例,其他更多的权限设置常见问题请参考: OSS 赋权常见问题

webCows
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
阿里云ossjava源码-microservices-platform:基于SpringBoot2.x、SpringCloud和SpringC
06-06
阿里云 oss java源码 一. 项目介绍 1.1 项目简介 前后端分离的企业级微服务架构解决方案 基于Spring Boot 2.3.8、Spring Cloud Hoxton.SR9和Spring Cloud Alibaba 2.2.5 非功能性开发脚手架 基于RBAC、jwt和oauth2的无状态统一权限认证 面向互联网设计,同时适合B端和C端用户 支持CI/CD多环境部署 提供应用管理,方便第三方系统接入,支持多租户(应用隔离) starter组件化的思想实现最小化依赖 1.2 核心功能 统一认证功能 网关统一认证 url级权限控制 支持oauth2的四种模式登录 支持用户名、密码加图形验证码登录 支持手机号加密码登录 支持openId登录 支持第三方系统单点登录 分布式系统基础支撑 服务注册发现、路由与负载均衡 服务降级与熔断 服务限流(url/方法级别) 统一配置中心 统一日志中心 统一搜索中心 统一分布式缓存操作类、cacheManager配置扩展 分布式锁 分布式任务调度器 支持CI/CD持续集成(包括前端和后端) 分布式Id生成器 分布式事务(强一致性/最终一致性)
iw:Java Web快速开发,基础功能集成后台,包含权限系统,会员系统,日志统计,系统管理等,让你专心做功能
03-11
iw web快速开发,基础功能集成实力 整合权限,论坛,会员,日志,消息,系统,数据缓存,短信等功能Spring4,Spring MVC4,Hibernate4,Shiro, ##快速开发代码示例 数据库相关 列表分页 日志 OSS文件上传 多语言支持 数据库操作 论坛相关 目录说明 / src java源代码 / src / com / xnx3 / j2ee / bean相关bean类 / src / com / xnx3 / j2ee / controller springmvc控制器 / src / com / xnx3 / j2ee / controller / admin管理后台 / src / com / xnx3 / j2ee / dao数据库相关操作 / src / com / xnx3 / j2ee / entity数据库关联的实体类 / src / com / xn
java版商城源码下载-oss:cmdb系统
06-05
java版商城源码下载 JeeSite 企业信息化快速开发平台 平台简介 JeeSite是基于多个优秀的开源项目,高度整合封装而成的高效,高性能,强安全性的开源Java EE快速开发平台。 JeeSite是您快速完成项目的最佳基础平台解决方案,JeeSite是您想学习Java平台的最佳学习案例,JeeSite还是接私活的最佳助手。 JeeSite是在Spring Framework基础上搭建的一个Java基础开发平台,以Spring MVC为模型视图控制器,MyBatis为数据访问层, Apache Shiro为权限授权层,Ehcahe对常用数据进行缓存,Activit为工作流引擎。是JavaEE界的最佳整合。 JeeSite主要定位于企业信息化领域,已内置企业信息化系统的基础功能和高效的代码生成工具, 包括:系统权限组件、数据权限组件、数据字典组件、核心工具组件、视图操作组件、工作流组件、代码生成等。 前端界面风格采用了结构简单、性能优良、页面美观大气的Twitter Bootstrap页面展示框架。 采用分层设计、双重验证、提交数据安全编码、密码加密、访问验证、数据权限验证。 使用
C#调用阿里云短信平台接口发送短信.rar
09-30
阿里云短信平台,C#调用示例
Cloudreve个人网盘系统源码 支持云存储(七牛、阿里云OSS、腾讯云COS、又拍云、OneDrive) 基于Go框架
最新发布
01-24
现在的网盘动不动就限速,涨价,弄得很是心烦。这款开源免费的网盘项目,基于 Go 语言开发的 Cloudreve。Cloudreve基于Go框架云存储个人网盘系统源码支持多家云存储驱动(从机、七牛、阿里云 OSS、腾讯云 COS、又拍云、OneDrive)。 Cloudreve 是一个简洁美观、易于使用的云盘系统。 它支持几乎所有主流的云存储服务,并且提供了用户友好的界面和简单的操作,非常适合个人或组织进行文件管理和分享。 技术栈: 后端:Go + Gin 前端:React + Redux + Material-UI 系统特色: 可以自由地使用、修改和定制它,而且无需额外支付费用。 强大的文件管理:提供了简洁而强大的文件管理功能,包括上传、下载、预览、复制、移动和删除文件等操作。 多种存储后端支持:支持多种存储后端,包括本地文件系统、阿里云 OSS、腾讯云 COS、七牛云等,可以根据自己的需求选择合适的存储方式。 文件分享和访问控制:可以轻松地创建分享链接,并设置链接的有效期限、访问密码和下载次数限制,保护文件安全。 用户管理和权限控制:支持多用户管理 响应速度快
OSS 最佳实践】OSS 操作权限控制
weixin_34124651的博客
09-15 2673
用户操作 OSS 时是需要根据账号的 AccessKeyId 和 AccessKeySecret (后续简称 AKSK )进行权限验证的,这里的 AKSK 包括有多种类型:主账号的 AKSK 、子账号的 AKSK 以及 STS 生成的临时 AKSK 和 Token 。那么他们之间有什么区别呢?具体应该如何配置使用呢?本文将带...
前端不暴露ak/sk直接上传阿里云oss的方案
北亮的专栏
07-07 2001
介绍如何在不暴露ak/sk的情况下,使用javascript直接上传阿里云 oss的方案,并小小的吐槽一下
阿里云OSS图床和百度OCR获取ak, sk
qq_43361434的博客
09-06 1937
阿里云OSS图床和百度OCR获取ak, sk
OSS Browser的使用
谢公子的博客
06-28 4768
目录 AK登录 授权码登录 管理Bucket存储桶 ossbrowser是阿里云官方提供的OSS图形化管理工具,提供类似Windows资源管理器的功能。 OSS Browser官方版支持 AK(AccessKey)登录 和 临时授权码 登录两种模式。 AK登录 使用AK登录ossbrowser,您可以使用AK(比如子账号AK)登录使用ossbrowser。不推荐使用主账号AK登录。 登录RAM控制台创建子账号,子帐号的权限分为: 大权限子账号(即拥有所有Bucket权限,且...
阿里云存储OSS《快速使用》
心有谦谦结
03-18 9377
为了解决海量数据存储与弹性扩容,项目中我们采用云存储的解决方案- 阿里云OSS。 本文主要为快速使用OSS的简介。
aliyun-oss-sdk-6.1.1.min.js
09-03
环境准备 前提条件 开通阿里云OSS服务。如果您还不了解阿里云OSS服务,请登录OSS产品主页了解。详情请参见产品介绍。 创建AccessKeyId和AccessKeySecret。由于云账号AccessKey拥有所有API访问权限,建议遵循阿里云安全最佳实践。如果部署在服务端可以使用RAM子账号或STS来进行API访问或日常运维管控操作,如果部署在客户端请使用STS方式来进行API访问。详情请参见访问控制。 环境要求 OSS Browser.js SDK基于Node.js环境构建,通过Browserify和Babel产生适用于浏览器的代码。 但是由于浏览器环境的特殊性,无法使用以下功能: 流式上传:浏览器中无法设置chunked编码,用分片上传替代。 操作本地文件:浏览器中不能直接操作本地文件系统,用签名URL的方式下载。 Bucket相关的操作(listBuckets/BucketACL/BucketLogging等),由于OSS暂时不支持Bucket相关的跨域请求,Bucket相关的操作可以在控制台进行。
使用RAM用户配置阿里云OSS访问凭证——AcessKey配置问题(JDK17)
dongbab的博客
01-19 560
当前阿里云建议使用RAM用户的AcessKey进行调用,其教程也是使用RAM用户(经过尝试,直接使用主账户的AcessKey根据访问密钥教程配置是无法正常使用的)添加这两项,后续就可以根据教程使用RAM用户的OSS_ACCESS_KEY_ID以及OSS_ACCESS_KEY_SECRET配置访问凭证了。Step1.先创建RAM用户。创建好后会自动为该用户生成OSS_ACCESS_KEY_ID以及OSS_ACCESS_KEY_SECRET。Step2.为该用户设置权限
linux部署oss对象存储工具ossutil
云中鹿的博客
07-08 1108
如果配置填错了,可以重新执行ossutil config 修改相关配置。返回一下信息则代表成功啦,去oss控制台bucket空间内就可以看到了。3.填写endpoint:根据自己的服务器节点填写,oss控制台有。切记弹出的窗口包括aksk注意保存,否则只能删除重新创建。6.stsToken,临时访问token,直接回车。2.2 准备配置,安装完成后需要初始化一下配置。1.配置文件地址,建议直接回车使用默认配置。4.AK:前面创建的ak。2.选择语言CH/EN。这里可能分6个步骤(
OSS云存储的权限控制
凉茶铺的博客
09-19 3564
介绍了OSS云存储的权限控制方式
云主机秘钥(ak/sk)泄露及利用案例
渗透测试研究中心
12-14 1320
云平台作为降低企业资源成本的工具,在当今各大公司系统部署场景内已经成为不可或缺的重要组成部分,并且由于各类应用程序需要与其他内外部服务或程序进行通讯而大量使用凭证或密钥,因此在漏洞挖掘过程中经常会遇到一类漏洞:云主机秘钥泄露。此漏洞使攻击者接管云服务器的权限,对内部敏感信息查看或者删除等操作。此篇文章围绕如何发现秘钥泄露、拿到秘钥后如何利用展开。aksk拿到后的利用,阿里云、腾讯云云主机通过使用AccessKey Id / Secret Access Key加密的方法来验证某个请求的发送者身份。
OSS最佳实践】浅谈OSS权限控制
weixin_33895516的博客
02-01 2473
一、OSS本身的权限控制 1.权限类型 Bucket目前有三种访问权限:public-read-write,public-read和private;Object目前有四种访问权限:default,public-read-write,public-read和private;对于权限的详细介绍看访问控制中的bucket级别权限及object级别权限的内容介绍...
oss修改存储类型_企业用户多账号合并之存储迁移集中
weixin_39550587的博客
02-06 121
场景描述本文介绍使用在线迁移服务,将分布在各个云账号中的对象存储、文件存储数据集中到一个账号的对象存储或文件存储下。解决问题安全治理需求,统一的账户体系、身份、权限及资源管理。业务系统相互访问,数据统一需求。系统架构及资源成本优化需求,多账号下的带宽、流量、存储包等资源整合优化。企业或部门合并时云账号的合并。产品介绍RAM:RAM允许在一个阿里云账号下创建并管理多个身份,并允许给单个身...
授权某用户的 OSS 目录操做权限
田辛_DensinTian的专栏
04-14 2010
小型轻便的直接用阿里云OSS做网盘的方案
教程示例:控制存储空间和文件夹的访问权限
weixin_33800593的博客
07-04 1914
本教程示例详细演示了如何控制用户对 OSS 存储空间和文件夹的访问。在示例中,我们首先创建一个存储空间和文件夹,然后使用阿里云主账号创建访问管理 (RAM) 用户,并为这些用户授予对所创建 OSS 存储空间及文件夹的增量权限。 存储空间和文件夹的基本概念 阿里云 OSS 的数据模型为扁平型结构,所有文件都直接隶属于其对应的存储空间。因此,OSS 缺少文...
delphi oss sdk
01-19
此外,它还提供了对于多线程传输、断点续传以及权限控制等高级功能的支持。 使用 Delphi OSS SDK,开发人员可以通过简单的代码实现与阿里云 OSS 之间的数据交互。通过调用相应的API,开发人员可以在他们的应用程序...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值